Вопрос или проблема
Мы внедрили DMARC (Domain-based Message Authentication, Reporting, and Conformance) с политикой “p=reject”, чтобы повысить безопасность электронной почты и предотвратить подделку для нашего бизнес-домена. SPF и DKIM настроены правильно, и электронные письма, отправленные напрямую с наших серверов, проходят проверку подлинности.
Проблема:
Мы сталкиваемся с проблемами DMARC, когда электронные письма пересылаются сторонними сервисами, такими как:
- Автоматическая пересылка из почтовых ящиков сотрудников
- Мailing списки и группы рассылок
- Внешние почтовые ретрансляторы, используемые для деловой связи
Ответ или решение
Основным вопросом при использовании DMARC (Domain-based Message Authentication, Reporting, and Conformance) с политикой "p=reject" является проблема с доставкой писем, которые переправляются третьими сторонами. Это типичная ситуация при автоматической пересылке писем из почтовых ящиков сотрудников, через списки рассылки или внешние почтовые релейные системы, которые используются для бизнес-коммуникаций. В таком случае корректно настроенные SPF и DKIM не всегда гарантируют успешную прохождение проверок.
Теория
DMARC—это протокол аутентификации электронной почты, который объединяет SPF (Sender Policy Framework) и DKIM (DomainKeys Identified Mail) для борьбы с мошенничеством и спуфингом. Политика "p=reject" строго отвергает все письма, которые не проходят аутентификацию. На практике эта жесткость может привести к сбоям, особенно когда почта пересылается через промежуточные платформы.
Примеры
-
Автоматическая пересылка: При автоматической пересылке писем из корпоративных почтовых ящиков оригинальный SPF-запись может нарушаться, так как новое отправленное письмо будет рассматриваться как исходящее от сервера пересылки.
-
Списки рассылки и группы: В случае использования таких инструментов, изменение заголовков и корпуса письма может сделать DKIM-подписи недействительными.
-
Внешние релейные системы: Сервисы, которые пересылают почту от имени вашего домена, могут не соответствовать вашему SPF и нарушать DKIM.
Применение (Application)
Для предотвращения сбоев DMARC при пересылке электронной почты, целью является минимизация вероятности нарушения аутентификационных политик.
-
Использование "надежных" сторонних услуг: Необходимо выбирать почтовые сервисы и релейные системы, которые поддерживают стандарт ARC (Authenticated Received Chain). ARC помогает сохранить проверку аутентификации, даже если одно или несколько промежуточных звеньев в цепи хотят переслать письмо с нарушением.
-
Внедрение "двойной подписи" DKIM: При отправке писем через внешние сервисы можно использовать двойную DKIM-подпись (одна из них остается нетронутой при переправке). Это повысит вероятность успешного прохождения DMARC.
-
Регулярное обновление SPF: Включите все разрешенные IP, которые могут пересылать вашу почту, в SPF-запись. Это может потребовать тесного сотрудничества с администраторами внешних сервисов.
-
Используйте политики для "friendly forwarding": Настройте исключения или мягкие политики для определенных доменов или сервисов, которые часто пересылают на вашей почтой. Это возможно через инструмент, например, как "SPF flattening".
-
Информирование и обучение персонала: Убедитесь, что сотрудники знают о протоколах пересылки почты и как это влияет на доставку.
-
Оценка и настройка DMARC отчетности: Регулярно изучайте отчеты DMARC для понимания источников проблем и их решения. Применение этих знаний поможет в корректировке политик или алгоритмов пересылки.
Заключение
Настройка DMARC с политикой "p=reject" может значительно улучшить безопасность и целостность деловой переписки. Однако для успешной пересылки сообщений без сбоев требуется комплексный подход, учитывающий уникальные аспекты конфигурации электронных сервисов в вашей среде. Внедрение перечисленных выше мер и постоянный анализ отчетов помогут сбалансировать безопасность и функциональность почтовой системы.